バグバウンティ & VDP プラットフォーム 2026 — HackerOne / Bugcrowd / Intigriti / Synack / YesWeHack / Immunefi / Code4rena / Anthropic Model Safety 徹底ガイド

プロローグ — 2026 年、バグバウンティは大人になった

2026 年 5 月、バグバウンティはもう「趣味の開発者がハッカー映画を真似する場所」ではない。2012 年の HackerOne 創業から 14 年、この産業は三つの段階を経て大人になった。

**2012 から 2017 — セルフサービス期。**Facebook・Google・Microsoft が自社プログラムを回し、HackerOne・Bugcrowd が外部ハンターを集めた。「公開プログラムに誰でも入って報告を投げ、トリアージチームが処理する」シンプルで、ノイズが多かった。
**2018 から 2023 — マネージド期。**ノイズはトリアージ人件費として戻ってきた。HackerOne Clear・Bugcrowd Crowdcontrol・Synack Red Team が「本人確認済みハンター + マネージドトリアージ」を別商品として値付けし始めた。同時期に Immunefi が Web3 で一件 $10M 級の賞金を敷き、別市場を作った。
**2024 から 2026 — AI・コンプライアンス・Web3 への分岐。**Anthropic が 2024 年 8 月に Model Safety Bounty を開き、OpenAI Cybersecurity Grant Program が LLM 安全研究に資金を投じる。CISA BOD 20-01 は米連邦機関に VDP を義務化し、EU CRA(Cyber Resilience Act)は 2027 年 12 月までに全デジタル製品に脆弱性開示を強制する。CVE / NVD は 2024 から 2025 年のバックログ危機を抜けたが、依然として産業の基準点だ。

本稿は 15 の主要プラットフォームを「マネージド・セルフホスト・Web3・AI」の 4 象限に分け、各プラットフォームが誰のためのもので、どの賞金構造とコンプライアンス親和性を持つか、そして韓国(KISA・トス・カカオ)と日本(IPA・ZOZO・メルカリ・LY・DMM)がどう違うかを一息で見る。

1 章 · 2026 年バグバウンティ地図 — 4 象限

まずは一枚の図。

                マネージド(プラットフォームがトリアージ)
                          ▲
                          │
            Synack ───────┤
        HackerOne Clear   │   Cobalt.io (PtaaS)
        Bugcrowd Managed  │
                          │
   Web2 ◄──────────────────┼──────────────────► Web3 / AI
                          │
        Open Bug Bounty   │   Immunefi
        Intigriti (SaaS)  │   Code4rena
        YesWeHack (SaaS)  │   Sherlock
        HackerOne SaaS    │   Hats Finance
                          │   Spearbit / HackenProof
                          │   Anthropic Model Safety
                          │   OpenAI Cybersecurity Grant
                          │
                          ▼
                  セルフホスト(自社でトリアージ)

横軸は「何を標的にするか」 — 伝統的な Web / モバイル / API か、スマートコントラクトや LLM か。縦軸は「運用モデル」 — プラットフォームがトリアージを代行するか、会社が直接受けるか。

この図がそのあとの章の骨格である。各プラットフォームは一点ではなく小さな領域を占める。HackerOne は SaaS・マネージド・VDP・ペンテストにまたがり、Synack はマネージド一角に集中し、Immunefi は Web3 の一行をほぼ独占する。

2 章 · HackerOne — 最大手、そして上場を見送った会社

2012 年にサンフランシスコで始まった HackerOne は、累計レポート 100 万件超、累計賞金約 $400M を扱う産業の事実上の標準だ。2026 年時点で登録ハンター 150 万人、顧客 1000 社超と推定される。

**プロダクト群。**HackerOne は単一プロダクトではなく束だ。

プロダクト	中身
Bounty	公開 / 非公開のバウンティプログラム
Response (VDP)	無償 VDP — CISA BOD 20-01 親和
Pentest	計画的なマネージドペンテスト
Assessments	マネージドフルスコープ
AI Red Teaming	LLM・マルチモーダルモデルの標的評価

**2024 から 2025 年の流れ。**長く IPO 候補と言われたが、市場低迷で時期を後ろ倒しにし、売上はマネージド・エンタープライズ契約へ傾いた。並行して AI Red Teaming を急速に育て、OpenAI・Anthropic・Google DeepMind が自社のモデル安全チャレンジを HackerOne 上で走らせている。

**誰が使うべきか。**グローバル SaaS・フィンテック・政府(米国防総省の Hack the Pentagon は HackerOne 上)が一番手。短所も明確で、価格が高く、トリアージ SLA への不満がハンターフォーラムに残り続けている。

**韓国で。**トス・ライン・カカオが部分的に HackerOne を使うが、韓国ハンターは全体に占める比率が小さい。英語レポート義務は依然として参入障壁だ。

3 章 · Bugcrowd — 直接の競合、AI トリアージで差別化

2012 年にオーストラリアで始まった Bugcrowd は HackerOne とほぼ同じ週に出発し、同じマネージド / VDP / ペンテストの製品群を持つ。両社は 14 年間ほぼ平行に機能を作ってきた。

**差別化点。**2024 年から Bugcrowd は AI トリアージを前面に押し出している。入ってきたレポートを LLM が一次分類し、重複・ノイズを除外し、深刻度を推定する。ハンター側は応答が速くなった印象、会社側はトリアージ人件費が下がる。

**Crowdcontrol プラットフォーム。**Bugcrowd の中核 SaaS。プログラムビルダー、VRT ベースのハンター評価、自動報酬計算、ServiceNow・Jira・GitHub 連携まで。エンタープライズ向けの重い SOAR のような見た目で、企業セキュリティ部門に好まれる。

**コンプライアンス。**SOC 2 Type II・ISO 27001・PCI DSS 親和レポートを標準提供。米国防総省・Tesla・OpenAI(一部)が Bugcrowd 上にプログラムを置く。

**弱点。**UI / UX とハンターコミュニティの活性度は HackerOne より弱いという評がある。新規ハンターが入って見ると、稼働中プログラム数が思ったほど多くないと感じる場合が多い。

4 章 · Intigriti — 欧州の事実上の標準

ベルギーのアントワープで 2016 年に始まった Intigriti は、2026 年現在、欧州で最大のバウンティプラットフォームだ。9 万人超のハンターと 500 社超の顧客を抱え、欧州の政府・銀行・通信事業者を多数獲得している。

**なぜ欧州は Intigriti なのか。**二つが組み合わさった。

**GDPR / NIS2 / DORA / CRA 親和。**データ所在地、ハンター本人確認、決済フローがすべて EU 内で閉じる。「データが米国プラットフォームを通過しない」は欧州規制担当者にとって大きな違いを生む。
**言語・タイムゾーン。**欧州の営業・トリアージチームが現地営業時間に応答する。CET 朝に返事がもらえる、という単純な事実が EU セキュリティチームにとって意外に重要だ。

**機能。**HackerOne・Bugcrowd とほぼ同じ SaaS ライン — Bounty・VDP・Hybrid Pentest・Live Hacking Event。Live Hacking Event(例: Intigriti 1337UP)はハンターを一都市に集め 48 時間ライブで進めるイベントで、欧州ハンターコミュニティの事実上のカンファレンスになっている。

**誰が使うべきか。**EU 本社の会社、または EU データ保護要件の厳しい会社。CRA(2027 年 12 月発効)が近づくほど、Intigriti のシェアはさらに伸びる可能性が高い。

5 章 · Synack — 本人確認ハンター + マネージドペンテストの定義

Synack は他のプラットフォームと一段別の軸で動いている。2013 年に元 NSA のアナリスト二人が創業した同社は、**SRT(Synack Red Team)**と呼ぶ本人確認済みの精鋭ハンター群だけを受け入れ、政府・金融・ヘルスケアといった高リスク顧客にマネージドペンテストを売る。

開放型バウンティとの違い。

**ハンターの身元が確認される。**バックグラウンドチェック、技術面接、行動評価を通った者だけが SRT に入る。拒否率 90% 超と言われる。
**標的が非公開。**一般ハンターはどの会社をテストするかさえ知らずに入る。
**トラフィックが Synack ゲートウェイを通る。**全テストトラフィックが Synack インフラを通って記録・監視され、顧客は誰がいつ何を試したかを監査ログで受け取る。

**製品。**SRT for Pentesting(計画型)・SRT for Continuous(常時)・Bounty Hunter(部分報酬)まで。価格は他 SaaS より顕著に高く、レポートは SOC 2・FedRAMP・ISO 27001 の監査にそのまま提出できる品質が保証される。

誰が使うべきか。「外部ハンターを受け入れたいが、本人確認なしでは無理」な米連邦・州政府・大手金融・ヘルスケア。つまりコンプライアンスが買い決定の主因の場。

**弱点。**価格、そしてハンター側から見た参入障壁。一般ハンターが Synack に入れる可能性は非常に低い。

6 章 · YesWeHack — フランス発の EU 親和プラットフォーム

YesWeHack はパリで 2013 年に始まったフランス企業。Intigriti がベネルクスを基盤に EU 全域を狙ったのに対し、YesWeHack はフランス政府契約を中心に EU・アジア・ラテンアメリカへ広げた。

特徴。

**公共部門に強い。**フランス ANSSI(国家サイバーセキュリティ庁)・ENISA(EU サイバーセキュリティ庁)と近い距離感。仏・英・独・日・西の UI を早期から備えた。
**Dojo / 学習トラック。**ハンター教育環境をプラットフォーム内に持つ。CTF 形式のチャレンジで新規ハンターを育てたあと、実プログラムへ移動させる。
**シンガポール・東京拠点。**2020 年代中盤からアジア進出を加速し、日本とシンガポールでデータ所在地を提供する。

**製品。**Bounty・VDP・Pentest・Attack Surface Management まで。他の EU 系プラットフォームと同じ SaaS ライン。

**誰が使うべきか。**フランス本社の会社、または多言語・多地域で EU コンプライアンスを保つ必要のある会社。日本では LY・DMM などが部分的に YesWeHack を検討・採用している。

7 章 · Open Bug Bounty — 無料、そして一方向の公開

Open Bug Bounty は他の全プラットフォームと異なる。2014 年に始まったこのサイトは、サイトオーナーに無料だ。ハンターがサイトの XSS・情報漏洩・設定ミスを発見すると、Open Bug Bounty がサイトオーナーに通知する責任を負う。報酬はサイトオーナーが自由裁量で決める。

モデルの本質。

ハンターは事前同意なしに自由にサイトを探索し、脆弱性を報告できる。
Open Bug Bounty は 90 日間の調整期間を取り、その間ハンターは公開を控える。
90 日後あるいはパッチ後、ハンターは発見事実(セキュリティ区分・対象サイトドメイン)を公開する権利を持つ。

**長所。**小規模サイト・NGO・学校・政府サブドメインのように、正式バウンティを運営する資源がない場でも通知チャネルができる。累計レポート数は 130 万件超。

短所。「事前同意なしのテスト」は米国・EU で刑事グレーゾーンだ。ハンターが踏み込みすぎると CFAA・英国 CMA のリスクを抱える。サイトオーナー側からは、望まぬ外部スキャンが PR リスクになる場合もある。

**誰が使うべきか。**正式バウンティ予算のない小組織が通知チャネルを置きたいとき。あるいはハンター側で学習用の初レポートを作りたいとき。

8 章 · Cobalt.io — PtaaS の定義

Cobalt.io はバウンティ会社ではなく、PtaaS(Pentest as a Service)会社だ。2013 年創業。マネージドペンテストを SaaS のように売る。顧客はダッシュボードで「テスト開始」を押し、Cobalt が本人確認済みペンテスター(Cobalt Core)プールから適合者をすばやくマッチングする。

**なぜ別カテゴリか。**通常のバウンティは結果ベース報酬 — ハンターは脆弱性を見つけたときのみ報酬を受け取る。PtaaS は時間ベース報酬 — ペンテスターは決まった期間を働き、時間給またはプロジェクト報酬を受け取る。会計処理、コンプライアンスレポートの形、ハンターのインセンティブがすべて異なる。

**Cobalt Core.**約 400 人規模の本人確認済みペンテスタープール。Synack SRT より軽い検証(主に技術面接 + 評判)だが、開放型バウンティよりは強い検証。

**顧客。**中堅 SaaS、フィンテックスタートアップ、初めて SOC 2 / ISO 27001 を取得する会社。「外部ペンテストはコンプライアンス要件だが、フルスコープのコンサル会社を呼ぶのは負担」という位置にぴたりと収まる。

9 章 · Immunefi — Web3 で一件 $10M 賞金を敷く

Immunefi は 2020 年に始まった Web3 専用バウンティプラットフォーム。他のプラットフォームが Web2 を扱う間、Immunefi はスマートコントラクト・ブリッジ・DEX・DAO を標的にしている。

**規模。**累計支払い $1.1 億超。単一レポート最高額は約$ 10M(2022 年 Wormhole 等)。一般的な Web / モバイルバウンティが平均一件 $1K 未満に収束するのとは桁違いだ。

**なぜここまで大きいのか。**スマートコントラクト一つが数十億ドル規模の資産をロックしている場合があり、一度のエクスプロイトでそれが消える可能性がある。一件のクリティカルバグが防いだ損失がそのまま報酬になる — DeFi プロトコルは自身の TVL の 5 から 10 パーセントをクリティカル上限として約束する。

**支払い形態。**深刻度別の固定額(critical・high・medium・low)プラス上限。支払いは主にステーブルコイン(USDC・USDT)、一部はプロトコル自身のトークンで行われる。

**弱点。**参入障壁が高い。Solidity・EVM・新しいチェーンの仮想マシンを深く知らないとクリティカルは見つからない。市場低迷時にはトークン価値が下落し、報酬の実質価値が落ちる。

**誰が使うべきか。**DeFi・NFT・インフラプロトコル・ブリッジ運営者。ハンター側では Web3 / Solidity の素地がある人に最大の賞金が敷かれている場。

10 章 · Code4rena / Sherlock / Hats Finance / Spearbit / HackenProof — Web3 専門の分岐

Immunefi 以外にも Web3 セキュリティ市場には複数のモデルが共存する。5 つを短くまとめる。

**Code4rena.**期間限定のコードコンテスト — 通常 5 から 21 日間、あるプロトコルの新コードベースを公開し、登録済みウォーデン(Warden)が同時に監査する。発見されたイシューを深刻度別に分類し、賞金プール(例: $100K)をウォーデンの発見重みで分配する。コードベースが決められた期間だけ公開されるため、プロトコル側はコストを予測しやすい。

**Sherlock.**スマートコントラクト監査 + 保険の組み合わせ。監査対象コードについて一定期間、エクスプロイト損失を Sherlock が保証する。監査者に「自分が見逃したバグの責任を取る」インセンティブが乗るモデル。

**Hats Finance.**分散型バウンティ — プロトコル自身が自社コントラクトを登録し、報酬がエスクローでロックされる。レポートが入ると委員会投票で報酬が解放される。中央トリアージ会社を介さない点が差別化要素。

**Spearbit.**フルタイムの監査コンサル — マーケットプレイスではなく単発の深い案件。バウンティプラットフォームというよりシニア監査者のブティック。Optimism・Aave・Lido などの大手プロトコルが常連。

**HackenProof.**ウクライナ / EU 拠点の Web3 + Web2 ハイブリッドバウンティ。Hacken グループ傘下の監査会社と結合され、Web3 監査レポートとライブバウンティを束ねて売る。

11 章 · BugBase / Hackrate — 新興プラットフォーム

大手の横に新興 2 社が位置取りしている。

**BugBase(インド)。**2021 年にインドで創業。インドのハンターコミュニティ・アジア本社の顧客を素早く集めた。UPI・INR 決済など現地決済インフラに親和的。インド・ASEAN の会社にとって最も近いプラットフォーム。

**Hackrate.**ハンガリーのブダペスト拠点。中欧・東欧の会社を対象にする。Intigriti より軽く価格も低いため、小規模 SaaS や公共系機関が低い摩擦で導入する。

世界シェアは小さいが、それぞれの域内では「現地決済 + 現地コンプライアンス + 現地ハンターコミュニティ」の組み合わせで意外に強い。

12 章 · AI バグバウンティ — Anthropic Model Safety / OpenAI Cybersecurity Grant

2024 年から AI 自体を標的にする新カテゴリが開いた。

**Anthropic Model Safety Bounty(2024 年 8 月)。**Anthropic が自社の Constitutional Classifier に対して公開バウンティを開いた。標的は「universal jailbreak」 — 単一プロンプトで全安全カテゴリを同時に回避する攻撃。報酬は単件最大 $15K 水準。2025 年に追加ラウンドが行われ、Responsible Scaling Policy(RSP)に連動した評価項目に拡張されている。

**OpenAI Cybersecurity Grant Program.**OpenAI が 2023 から 2024 年にかけて学術・セキュリティ研究者に資金を提供したプログラム。バウンティというより研究助成だが、成果は GPT 系列の安全性評価に直接反映される。ラウンドごとに $1M 規模。

**HackerOne / Bugcrowd の AI Red Teaming ライン。**既存バウンティプラットフォームが LLM・マルチモーダル標的向けの別ラインを育てている。報告カテゴリも一般 OWASP ではなく OWASP LLM Top 10(プロンプトインジェクション、学習データ漏洩、出力処理不備など)に従う。

**なぜ別カテゴリか。**AI 標的は伝統的セキュリティと異なり「再現可能なエクスプロイト」概念が曖昧だ。同じプロンプトが昨日は遮断され、今日は通ることがある。だから報酬も「再現可能な脱獄一貫性」「深刻度」「汎用性」といった新しい基準で評価される。

13 章 · CVE プログラム — MITRE・NIST NVD、そして 2024 から 2025 年のバックログ危機

プラットフォームがレポートを受けることとは別に、公式識別子(CVE ID)は別トラックで発行される。

**CVE Program.**1999 年に MITRE が立ち上げた。開示済み脆弱性に CVE-YYYY-NNNNN 形式の一意識別子を発行する。約 400 の CNA(CVE Numbering Authority)が自分の領域で直接 CVE を発行できる — Microsoft・Red Hat・GitHub など。2026 年累計発行は約 35 万件と推定。

**NIST NVD.**CVE に深刻度(CVSS)、CPE、CWE といった補強データを加え、検索可能なデータベースにする。米国 NIST 運営。

**2024 から 2025 年危機。**二つの出来事が業界を揺らした。

**NVD バックログ急増。**2024 年春から NIST が新規 CVE のエンリッチを十分に速く処理できず、大量のバックログが滞留した。ピーク時には 8 万件超が分析待ちに置かれた。
**MITRE 契約満了危機(2025 年 4 月)。**MITRE による CVE Program 運営契約が満了寸前まで進み、最後の瞬間に CISA が 11 か月の延長資金を投じた。同じ窓口で EU では ENISA が独自の EUVD(EU Vulnerability Database)を立ち上げ運営を開始した。

**結果。**業界は単一 NVD 依存から距離を取る方向に動いた。GitHub Advisory・OSV.dev・VulnCheck・CISA KEV・ENISA EUVD が補完ソースとして定着し、社内 SBOM・脆弱性マッチングは複数ソースを束ねる方向に標準化されつつある。

14 章 · VDP 標準化 — CISA BOD 20-01 と EU CRA

バウンティが任意なら、VDP(Vulnerability Disclosure Program)は事実上の義務になりつつある。

**CISA BOD 20-01(2020 年 9 月)。**米国土安全保障省傘下 CISA の Binding Operational Directive。全米連邦行政機関に次を要求する。

外部セキュリティ研究者が脆弱性を報告できる公式チャネル(通常は security.txt)。
報告者への 30 日以内の応答。
法的脅威なしの明示的なセーフハーバー。
公開ポリシーの掲載。

**EU CRA(Cyber Resilience Act)。**2024 年発効、2027 年 12 月完全適用。EU で販売される全デジタル製品(ソフト + ハード)に次を要求する。

実害ありの脆弱性は 24 時間以内に ENISA / CSIRT へ報告。
CVD(Coordinated Vulnerability Disclosure)ポリシーの公開。
パッチ提供期間最低 5 年(または合理的期間)。
SBOM の保有。

**結果。**自社セキュリティチームが小さい会社でも最低限の VDP チャネルは持つ必要がある。HackerOne Response・Bugcrowd VDP・Intigriti VDP・YesWeHack VDP がこの位置を無償または低価格 SaaS で狙う。「security.txt を置いて気が向いたら返信する」時代は終わりに向かっている。

15 章 · 韓国 — KISA・トス・カカオの風景

韓国はグローバルプラットフォームでのシェアは小さいが、国内エコシステムは健全に動いている。

KISA(韓国インターネット振興院)バグバウンティ。

毎年「バグバウンティフェスティバル」を運営。韓国の公共・民間サイトのキュレーション済みプールをハンターが同時に見る。
レポートは KrCERT/CC チャネルへ流れ、報酬は政府予算と参加企業のマッチングで形成され、通常は一件あたり 50 万から 1000 万ウォン台。
大きな違いは、英語ではなく韓国語のレポートを受け付ける点。

**トス(Viva Republica)。**2019 年から自社バウンティを一貫運営。単件で 1 億ウォン級の事例が公表されており、フィンテック標的の性質上クリティカル一件の影響が大きい。報告は自社チャネル + HackerOne の部分利用。

**カカオ。**カカオのセキュリティページに VDP + バウンティの両チャネルを置く。LINE 関連ドメインを束ねて運営し、報酬は自社等級に従う。

**LY コーポレーション(韓日合弁)。**LY 日本側として次章の日本市場と重なる。韓国のハンターから見ると、日本本社ドメインが追加標的として入ってくる。

**言語・決済・税務。**韓国のハンターがグローバルプラットフォームから受け取る報酬は外貨入金として処理され、税務申告義務が伴う。KISA フェスティバル・トス・カカオのような国内チャネルが韓国ハンターに親和的な理由の一つは、支払いフローの単純さだ。

16 章 · 日本 — IPA・ZOZO・メルカリ・LY・DMM

日本は韓国とは別の道を進んだ。

**IPA(独立行政法人情報処理推進機構)。**J-CSIP(Initiative for Cyber Security Information sharing Partnership)などの情報共有ネットワークを運営するが、自ら公開バウンティフェスティバルを開催する形ではない。代わりに「脆弱性関連情報の届出制度・ガイド」を通じて民間 VDP 導入を促す。

**ZOZO.**ファッション EC。2019 年に自社バウンティを開始した、日本における本格的な民間バウンティの先例の一つ。HackerOne の部分利用。

**メルカリ.**C2C マーケットプレイス。自社バウンティを早期に整備し、HackerOne や BugBounty.jp 上で運営。

**LY コーポレーション(LINE + Yahoo Japan 統合)。**2023 年の統合以降、広範なドメイン群(LINE・Yahoo・PayPay)を束ねた一本化バウンティを運営する。

**DMM.**コンテンツ・ゲーム・フィンテック複合企業。自社バウンティ + 日本国内プラットフォームの活用。

**BugBounty.jp.**日本ローカルのプラットフォーム。日本語 UI・日本税務に親和的な支払い。韓国の KISA プールのように、日本ハンターの参入障壁を下げる。

**韓日の差まとめ。**韓国は KISA のような公共フェスティバル + 大手民間の自社バウンティに二分される。日本は IPA がガイドを示すだけで自身は直接バウンティを運営せず、代わりに ZOZO・メルカリ・LY・DMM のような民間が個別に運用する。両者ともグローバルプラットフォームより自社チャネル比重が大きい。

17 章 · どう始めるか — ハンター側と企業側

最終章は二つの道に分かれる。

ハンター側 — 最初の 1 年

OWASP Top 10・OWASP API Top 10・OWASP LLM Top 10 を最初から最後まで一度通読する。レポートカテゴリはほぼここから来る。
PortSwigger Web Security Academy を無料で終わらせる。SSRF・IDOR・認証 / セッション・CORS・インジェクションを手に馴染ませる。
HackerOne・Bugcrowd・Intigriti にアカウントを作り、公開 VDP から始める。報酬がなくてもレポートのライフサイクルを学ぶには一番。
Open Bug Bounty で 2 から 3 件の学習用レポートを作ってみる。ただし自分の管轄法(韓国の情報通信網法、日本の不正アクセス禁止法、米国 CFAA)を事前に確認する。
**国内チャネルの活用。**韓国のハンターなら KISA フェスティバル・トス・カカオから、日本のハンターなら BugBounty.jp・ZOZO・メルカリ・LY から。英語レポートの負担なしに始められる。
**半年後に方向を選ぶ。**伝統的 Web / モバイルなら HackerOne・Intigriti、マネージドペンテストを職業にするなら Cobalt Core・Synack SRT の面接、スマートコントラクトなら Immunefi・Code4rena・Sherlock。

企業側 — 最初の半年

**VDP から始める。**有償バウンティの前に security.txt と報告チャネルを置く。CISA BOD 20-01 テンプレートまたは disclose.io の無償ガイドをそのまま使う。
**法的脅威なしの約束。**Safe Harbor の文言をポリシーに明記する。CFAA・情報通信網法・不正アクセス禁止法に対する非訴追の明示なしには真剣なハンターは集まらない。
**コンプライアンス対応。**必要なレポート(SOC 2・ISO 27001・PCI・GDPR・NIS2・DORA・CRA)を確認してプラットフォームを選ぶ。米政府向けなら HackerOne・Synack・Bugcrowd、EU なら Intigriti・YesWeHack、グローバル SaaS なら HackerOne・Bugcrowd。
**トリアージ要員かマネージドか。**最初の半年はマネージドが基本的に正解。社内トリアージチームを最初から育てるとノイズに沈む。
**報酬カーブ。**P1(critical)から P5(informational)まで等級別報酬を明示する。critical を市場平均より少し高くすると本気のハンターが集まる。
**事前プライベートベータ。**公開プログラムの前に 30 から 90 日のプライベートベータで信頼ハンターのみを招待し、流入レポートの量と種類を先に把握する。

18 章 · 締め — 同じ産業、四つの肌触り

冒頭の 4 象限図がそのまま結論だ。

**マネージド Web2.**HackerOne Clear・Bugcrowd Managed・Synack・Cobalt.io。本人確認済みハンター、トリアージ代行、コンプライアンスレポート。費用は高いが、品質は保証される。
**セルフホスト Web2.**HackerOne SaaS・Bugcrowd SaaS・Intigriti・YesWeHack・Open Bug Bounty。社内トリアージチームを運営する意思のある会社に合う。
**Web3.**Immunefi(常時の高額賞金)・Code4rena(期間限定コンテスト)・Sherlock(監査 + 保険)・Hats Finance(分散)・Spearbit(ブティック)・HackenProof(ハイブリッド)。単件報酬が一桁百万ドルに届く唯一の領域。
**AI.**Anthropic Model Safety・OpenAI Cybersecurity Grant・HackerOne / Bugcrowd AI Red Teaming。標的はモデル自体。評価基準は一般 OWASP ではなく OWASP LLM Top 10 + 各社の安全ポリシー。

その上に二つの横断軸が走る。一つは CVE / NVD の公式識別子トラックがすべての象限を貫くこと。もう一つは VDP が CISA BOD 20-01 と EU CRA を通じて事実上の義務になっていくことだ。

2026 年の一行サマリーは単純だ。**バグバウンティはもはや「公開プログラムに誰かが報告を投げる」単一産業ではない。**マネージド・セルフホスト・Web3・AI の四つの産業であり、それぞれ価格・コンプライアンス・ハンタープール・報酬曲線が異なる。会社もハンターも自分の場所を選ぶ — それが本稿の一行だ。

参考 / References

HackerOne — https://www.hackerone.com
HackerOne Hacktivity (公開レポート) — https://hackerone.com/hacktivity
Bugcrowd — https://www.bugcrowd.com
Bugcrowd Crowdcontrol — https://www.bugcrowd.com/products/crowdcontrol/
Intigriti — https://www.intigriti.com
Intigriti 1337UP Live Hacking — https://www.intigriti.com/1337up
Synack — https://www.synack.com
Synack Red Team — https://www.synack.com/red-team/
YesWeHack — https://www.yeswehack.com
YesWeHack Dojo — https://dojo-yeswehack.com
Open Bug Bounty — https://www.openbugbounty.org
Cobalt.io — https://www.cobalt.io
Cobalt Core — https://www.cobalt.io/core
Immunefi — https://immunefi.com
Immunefi Bug Bounty Programs — https://immunefi.com/explore/
Code4rena — https://code4rena.com
Sherlock — https://www.sherlock.xyz
Hats Finance — https://hats.finance
Spearbit — https://spearbit.com
HackenProof — https://hackenproof.com
BugBase (India) — https://bugbase.ai
Hackrate — https://hackrate.com
Anthropic Model Safety Bounty (2024.8) — https://www.anthropic.com/news/model-safety-bug-bounty
Anthropic Responsible Scaling Policy — https://www.anthropic.com/news/anthropics-responsible-scaling-policy
OpenAI Cybersecurity Grant Program — https://openai.com/index/cybersecurity-grant-program/
OWASP LLM Top 10 — https://owasp.org/www-project-top-10-for-large-language-model-applications/
CVE Program (MITRE) — https://www.cve.org
NIST NVD — https://nvd.nist.gov
CISA KEV (Known Exploited Vulnerabilities) — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
ENISA EUVD — https://euvd.enisa.europa.eu
CISA BOD 20-01 — https://www.cisa.gov/news-events/directives/bod-20-01-develop-and-publish-vulnerability-disclosure-policy
EU Cyber Resilience Act (CRA) — https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
disclose.io — https://disclose.io
security.txt RFC 9116 — https://www.rfc-editor.org/rfc/rfc9116
OWASP Top 10 — https://owasp.org/www-project-top-ten/
OWASP API Security Top 10 — https://owasp.org/API-Security/
PortSwigger Web Security Academy — https://portswigger.net/web-security
KISA バグバウンティ — https://www.krcert.or.kr
トスセキュリティ — https://toss.tech/security
カカオセキュリティ — https://www.kakaocorp.com/page/responsibility/security
IPA 日本 — https://www.ipa.go.jp/security/
ZOZO セキュリティ — https://corp.zozo.com/en/security/
メルカリセキュリティ — https://about.mercari.com/en/security/
LY コーポレーションセキュリティ — https://www.lycorp.co.jp/en/security/
BugBounty.jp — https://bugbounty.jp
GitHub Advisory Database — https://github.com/advisories
OSV.dev — https://osv.dev
VulnCheck — https://vulncheck.com